兴业银行开放银行平台由兴业银行科技子公司兴业数金自主研发,作为金融服务与生态场景融合的桥梁,基于“积木式”快速场景金融方案搭建能力,打破行业壁垒,为合作伙伴提供“金融+科技”服务,构建全新的场景金融生态。平台自上线以来,“开放”与“安全”并重,在打造开放场景的同时,高度重视用户信息安全,不断提升安全防护能力,为平台入驻企业提供安全便捷的生态赋能服务。
开放银行平台:即兴业银行开放银行平台,是指由本行建设和维护的符合《商业银行应用程序接口安全管理规范》(JR/T0185-2020)中“应用程序接口服务层”定义的系统,主要提供认证鉴权、流量控制、监控分析、报文交换、服务组合等功能,一般不涉及具体业务逻辑处理,负责将API应用的调用请求转发至银行业务系统处理,并将处理结果反馈给API应用或用户。
应用方&开发者:指按照开放银行平台流程经有效注册、申请后,通过开放银行平台提供的API和技术文档进行应用开发的外部合作机构。
在使用兴业银行开放银行服务(以下简称本服务)之前,甲方务必审慎阅读、充分理解本协议的全部内容,特别是粗体标注的条款。
第一条协议生效和适用范围
(四)除本协议外,乙方针对本服务,与甲方另行签署具体业务服务协议(以下简称业务协议)的,甲方需同时遵守该等业务协议。本协议具体条款与业务协议冲突的,以业务协议为准。
(五)本协议未尽事宜要求均以业务协议为准,含:
1.数据共享合法合规性承诺;
2.明确协议项下数据活动所涉及的数据内容、使用目的、使用范围、传输方式等;
3.甲方应配合乙方进行安全审计及检查,甲方应建立数据安全事件应急响应机制等;
4.甲方需具备的数据安全保护能力。
第二条术语定义
如无特别说明,下列用语在本协议中的含义为:
(二)接口:指乙方开发并拥有知识产权的软件或程序(包括但不限于API、SDK、H5、小程序),甲方可按照开放银行的规则将其集成到甲方应用中。
(三)甲方:指与乙方签订本协议后,通过乙方提供的接口和技术文档进行应用开发或使用的自然人、法人或其他组织。甲方通过开放银行获取接口和技术文档开发、完善应用以便服务自身或服务其他自然人、法人或其他组织。
(七)应用ID:指甲方在申请开发应用时获得的由乙方授予的应用程序接入ID,是应用的唯一标识。
(九)个人信息:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
(十)敏感个人信息:是一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行为轨迹等信息,以及不满十四周岁未成年人的个人信息。
(十一)处理个人信息:包含个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第三条特别提示
甲方和乙方均同意并理解:
(一)乙方不参与甲方应用的研发、运营等任何活动。因甲方的应用产生的任何纠纷、责任等,以及甲方违反法律法规或本协议约定引发的任何后果,均由甲方独立承担责任,与乙方无关;如侵害到乙方或其他第三方合法权益的,甲方须自行承担全部责任和赔偿一切损失。如乙方因甲方的应用或甲方原因承担法律责任或遭受任何损失,则乙方有权在承担该等责任后向甲方进行追偿,甲方应当全额赔偿,确保乙方自身不受损失。
(二)除本协议外,如乙方就接口使用等事项另行制定使用规范或规则的,甲方需同时遵守该使用规范或规则。
(三)甲方拟基于自身使用乙方提供的接口,或向第三方提供含有乙方所提供接口的应用的,甲方应按乙方流程进行操作,并通过乙方书面审核。如甲方未经乙方书面审核同意进行上述操作,乙方有权向甲方进行追偿,并由甲方承担相应法律责任。
第四条甲方主要权利与义务
(五)甲方理解并同意,甲方应采用可靠的密钥、证书保护机制,例如采用专门的硬件加密设备来保存认证密钥、证书。甲方应具备技术风险承受能力,识别客户身份和真实意愿,并根据交易类型对应的不同风险,采取有效的技术措施保障交易安全,降低交易风险。对交易的唯一性进行检查,防止重复提交;通过可靠的数字签名等机制保证交易信息的真实性、完整性;验证交易的有效性并存储交易,防止交易篡改、伪造等。甲方应采取第三方安全测评等手段,对系统安全性进行评估和优化改进。若因甲方原因导致密钥或证书到期后未及时更新,引发包括但不限于服务中断等情况,由此产生的一切风险由甲方自行承担。
(七)甲方应妥善保管认证密钥、证书。甲方同意,如果因甲方的密钥、证书遗失、泄露、被盗等所导致的损失及责任由甲方自行承担。
(八)甲方理解并同意,为保护乙方客户信息及开放银行安全,乙方有权对甲方接入的信息系统实行审查,包括但不限于技术水平审查、安全水平审查等,并根据审查结果向甲方提出防入侵、防病毒等措施建议。若甲方提供的信息系统仍无法符合保护客户数据安全的要求,乙方有权拒绝或终止提供本服务。但基于乙方并非专业机构,该审查并不保证甲方的应用、服务或行为完全合法合规或完全无风险,也并不代表乙方对甲方的任何行为提供担保、许可或向第三人承担任何共同责任。
(十一)甲方同意接收来自乙方及其关联公司、合作伙伴发出的邮件、信息。
(十三)未经乙方书面同意,甲方及其员工不得使用乙方及其关联公司(包括但不限于兴业银行、兴业数金、CIB、CIBFINTECH等)的商号、商标、服务标志、企业名称、其他标志、标识、用语等进行任何活动,亦不得对外宣传与乙方存在除本协议之外的任何其他关联。
(十四)甲方应负责审核使用其应用的客户的真实身份、资质,并在司法机关、行政机关等有权机关或乙方要求时提供客户的身份信息;如乙方需要甲方到客户经营场所进行巡检或提交相应数据统计资料的,甲方应积极配合,在乙方要求的时限内完成巡检或资料提交。
(十五)甲方明确理解并同意,如因其违反有关法律或者本协议之规定,使乙方及其关联公司遭受任何损失,受到任何第三方的索赔,或任何行政管理部门的处罚的,除本协议另有规定外,甲方应对上述损失、索赔或处罚向乙方及其关联公司进行全额赔偿并使其免受损害。
(十七)甲方应符合国家网络安全等级保护相应要求,进行安全设计、安全建设和安全保护。
(十九)甲方不得对乙方提供的接口进行反编译、篡改或二次封装;若甲方发现乙方接口存在安全缺陷,应采取补救措施并及时通知乙方。甲方未经乙方书面许可,不得将缺陷细节透露给任何其他第三方;甲方严禁利用乙方接口漏洞,进行网络攻击、信息窃取或交易欺诈等非法操作。
(二十)甲方应对其集成乙方接口运行状态进行监测,发现异常应及时处置。甲方应定期对乙方接口进行安全巡检,包括应定期对其调用乙方接口的应用系统进行安全评估,及时处理安全漏洞,确保调用的真实有效。甲方应具备故障识别与隔离能力:调用乙方接口应设计熔断机制,熔断规则包括设置失败笔数阈值、乙方接口调用失败阈值等,熔断措施包括拒绝交易、暂停服务调用等。
(二十三)甲方不得通过任何方式存储使用乙方接口服务时所必须用到的高等级信息,包括但不限于身份鉴别及交易验证信息、生物识别信息等,且甲方应配合乙方或者乙方委托的第三方机构进行安全评估。如甲方违反本条承诺,乙方有权提前终止或中止双方已签署的全部或部分合同。
1.甲方的名称或者姓名和联系方式;
2.甲方处理个人信息的目的、处理方式、处理的个人信息的种类、保存期限;
3.行使《中华人民共和国个人信息保护法》规定权利的方式和程序;
4.甲方与乙方相互独立,甲方于该合作场景下对个人信息的收集、存储、使用、加工、传输、提供、公开等,均与乙方无关,由甲方独立承担由此导致的一切法律责任;
5.法律、行政法规规定应当告知的其他事项。
如涉及到处理敏感个人信息时,在处理前还应当取得个人用户的单独同意,且向个人用户告知处理敏感个人信息的必要性以及对个人权益的影响,如涉及处理不满十四周岁未成年人个人信息的,还应当取得未成年人的父母或者其他监护人的同意。
(二十五)甲方须遵守《中华人民共和国保守国家秘密法》《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国数据安全法》《计算机软件保护条例》《互联网电子公告服务管理规定》《互联网信息服务管理办法》等有关计算机及互联网规定的法律、法规、条例、规章和国际惯例。在乙方有合理理由怀疑甲方的行为可能违反上述法律、法规、条例、规章和国际惯例的情况下,乙方有权不事先通知而暂停或终止向甲方提供服务。
(二十六)因甲方违反有关法律、法规、条例、规章、国际惯例或本服务协议的有关规定而导致的法律责任应由甲方独立承担,与乙方无关;如甲方违反有关法律、法规、条例、规章、国际惯例或本服务协议的有关规定给乙方或者第三方造成损失的,甲方同意赔偿因此而导致的全部损失,包括但不限于实际损失、可预期利益、因此发生的诉讼费、律师费、赔偿金、违约金等,并使乙方免受损害。
(二十八)甲方对乙方接口的使用发生重大变更时,如其交易量预期发生变化、对乙方接口集成方案进行修改等可能对乙方系统安全性、业务连续性等造成重大影响的有关事项,应制定变更方案和应急预案,评估变更带来的风险,并及时告知乙方,同时充分履行客户告知义务。
第五条乙方主要权利与义务
(一)乙方是开放银行的运营者,提供开放银行产品介绍、配合联调、生产接入等服务。
(二)如存在下列情况,乙方有权立即停止为甲方提供本协议项下的服务,对其应用或服务进行下架处理,并追究甲方的法律责任。乙方有权通过规则、通知等形式进一步补充或说明本条所规定的内容:
2.甲方违反本协议约定;
4.乙方收到客户或其他第三方通知,投诉甲方或其应用存在违反法律规定、存在风险或瑕疵、侵犯他人合法权益或违反其与乙方约定等情形;
5.乙方认为甲方的行为及所开发的应用可能影响开放银行正常运营的;
6.乙方认为甲方系统(含各类接入开放银行的产品系统)存在不安全因素(包括敏感信息泄露或者网站存在漏洞、被植入木马病毒或其他恶意代码等)可能影响到乙方或客户利益的情况;
7.乙方认为甲方存在违反法律规定或不当的行为,包括但不限于未经许可获取、存储、披露客户信息、可能危及网络或客户安全等情形;
8.乙方认为甲方从事任何二清、洗钱、暴力、反政府等违法违规行为,或为违法违规行为提供便利;
9.乙方认为存在其它可能损害乙方、客户或其他第三方的合法权益的行为。
第七条服务费用
(二)乙方保留向甲方收取使用本服务的服务费及对服务费进行调整的权利。收费方式及收费标准、优惠措施及其生效和终止日期等以乙方通过兴业银行官方网站、开放银行相应页面等适当方式公告的内容为准。收费标准变更的,乙方将在上述渠道提前进行公告,不再另行通知甲方。如果甲方不同意上述修改、变更或付费内容,则应停止使用该服务。
(三)甲方同意其应用或服务的订购数据以乙方系统记录为准。
第八条协议的解除
(一)如有下列情形发生,乙方有权单方面解除本协议,终止向甲方提供服务:
1.甲方为非法目的使用本服务的;
2.甲方使用本服务或提供的应用损害乙方、客户或其他第三方合法权益的;
3.甲方违反法律法规或本协议约定或违反其与乙方其他约定的。
(二)甲方同意,除第八条(一)所述情形外,乙方有权根据风险及自身业务运营情况需要,随时终止向甲方提供本服务及接口的部分或全部,因此导致甲方无法使用服务或服务受到限制,或导致客户无法使用甲方应用或服务的,乙方不构成违约,乙方也不承担任何法律责任。
第九条服务终止后的处理
第十条责任限制和免责
(一)甲方明确理解和同意,乙方不保证接口或技术文档一定能满足甲方的需要,不保证接口的正常运行,不保证乙方能够不中断地或无故障地提供本服务。
(二)甲方同意,因下列原因导致无法正常提供本服务的,乙方不承担任何责任:
1.乙方对其系统及设备进行停机维护或升级;
2.因台风、地震、洪水、雷电、恐怖袭击、公共卫生事件等不可抗力原因;
3.客户的电脑软硬件和通信线路、供电线路出现故障的;
5.因病毒、木马、恶意程序攻击、网络拥堵、系统不稳定、系统或设备故障、通讯故障、电力故障、第三方服务瑕疵或政府行为等原因;
6.法律法规禁止或限制乙方提供本服务的。
(三)在任何情况下,乙方不对任何间接性、后果性、惩戒性、偶然性、特殊性或刑罚性的损害承担责任(即使乙方已被告知该等损失的可能性)。
第十一条知识产权
(一)开放银行上所有内容,包括但不限于著作、图片、档案、资讯、资料、网站架构、网站画面的安排、网页设计,均由乙方或其他权利人依法拥有其知识产权,包括但不限于商标权、专利权、著作权、商业秘密等。非经乙方或其他权利人书面同意,任何人不得擅自使用、修改、复制、公开传播、改变、散布、发行或公开发表乙方网站程序或内容,或对开放银行内的接口或技术材料的部分或整体进行分解、反向工程、反编译、修改、调整。
(二)除本协议另有规定外,乙方授予甲方有限的、非排他性的、仅限于中华人民共和国境内(为避免歧义,不包含香港、澳门和台湾)的、可随时终止的和不可再分发的许可,仅限于甲方自己访问和使用开放银行开发、测试、显示其应用。
(四)甲方理解并同意,乙方不保证开放银行提供的接口中完全不侵犯任何第三方的著作权、专利权、商业秘密等知识产权或其他合法权益,如上述接口中使用技术、软件涉嫌侵犯第三方知识产权等合法权益的,乙方有权立即终止向甲方提供涉嫌侵权的服务,乙方不承担因此导致的任何的损失和责任。
第十二条通知和送达
(一)本协议所指的通知方式除上述条款中已有约定外,可以是网页提示、网页公告、站内信、电子邮件、手机短信或常规的信件传送等方式中的一种或多种。
(四)如果甲方提供的上述联系方式发生变更的,应在变更后三日内书面通知乙方;否则按原联系方式发出的通知或其他文书,即使变更方没有收到,仍视为送达。
(五)公告通知自公告在指定报刊或乙方网页或经营场所发布之日起生效。
第十三条其他约定
(一)非代理和禁止委托:甲方与乙方确认双方在本协议项下的安排、约定均不能视为双方存在任何代理关系;甲方确认其将不会在其任何宣传、市场、销售等活动或资料、文件中声称或误导其他人相信甲方是乙方代理。
(二)本协议的成立、生效、履行和解释,均适用中华人民共和国法律(为本协议之目的,不包括港澳台地区法律)。甲乙双方在履行本协议的过程中,如发生纠纷,双方应友好协商解决;协商不成时,任何一方都有权向乙方住所地有管辖权的人民法院提起诉讼。
乙方已采取加粗、加黑、突出显示等合理方式提请甲方注意本协议项下免除或限制其责任的条款,并按甲方要求对有关条款予以充分说明;甲乙双方对本协议所有条款内容的理解不存在异议。